Устаревание практических работ по ИБ

В разговорах с коллегами-преподавателями мы часто затрагиваем тему обновления учебных курсов по ИБ. Хорошо, когда у вас 1-2 дисциплины и есть возможность изучать свежие статьи, разрабатывать новые лабораторные. Но в жизни так не получается: приходится совмещать работу в 2-3 вузах одновременно либо несколько должностей в одном вузе 🤯

В какой-то момент я тоже с этим столкнулся. Мой вузовский курс по программированию 🐍 давно не обновлялся и заниматься им, честно, не было ни времени, ни сил. Тем более, хотелось двигаться дальше и развиваться в смежных областях 🧐 Прятать в стол многолетний труд тоже не хотелось 😒

В итоге все свои материалы я разместил в открытом доступе 🕸

Результат превзошел все ожидания: вместо 100 студентов, которые изучали курс в вузе, теперь только за месяц сайт посещают около 22 тыс. (в том числе весь отечественный EdTech) 🥳 Приятно, что у курса появилась вторая жизнь 🕺

Подобный кейс может стать примером для тех коллег, кто не может поддерживать собственные курсы в актуальном состоянии (переключился на другие проекты) и готов поделиться наработками 🌐

#личное #python

Открытый учебник по кибербезу (open source textbook)

Нашел всего одну 🤯 полноценную открытую книгу по кибербезу llsoftsecbook: a book on Low-Level Software Security for Compiler Developers.

Далее, почему эта книга в open source со слов ее авторов 🤔

Не найдя такой книги, мы решили написать ее самостоятельно. Мы сразу поняли, что сами не обладаем всей необходимой экспертизой, чтобы выполнить столь сложную задачу, поэтому решили создать книгу в формате открытого исходного кода, требующего участия множества экспертов.

Возможно, эта книга никогда не завершится, поскольку новые уязвимости обнаруживаются регулярно. Мы надеемся, что развитие книги как проекта с открытым исходным кодом позволит ей продолжать развиваться и совершенствоваться. Открытый исходный код увеличивает вероятность того, что она остается актуальной по мере появления новых уязвимостей и способов их устранения.

Отсутствие книг по кибербезу в открытом формате можно объяснить культурой, где принято опираться на мануалы и технические статьи (вспомним журнал Phrack). Как правило, у каждой утилиты или системы из арсенала ИБ-специалиста имеется хорошая документация 😎

#открытый_код

Мечта о подкасте про кибербез образование

Давно вынашиваю идею создать отдельный подкаст про образование, даже предварительный список гостей составил 😁 Сейчас нахожусь на этапе анализа существующих проектов, смотрю, что можно заимствовать 👀

Например, коллеги из @aktivcons запустили подкаст "Безопасный выход", один из выпусков которого посвящен кадрам в ИБ. Ведущие: Анастасия Харыбина, Тимофей Матреницкий и Алексей Петухов.

Тайм-коды:
00:00 – приветствие
01:30 – знакомство
02:17 – погружение в тему
05:05 – немного статистики
09:15 – какой сейчас дефицит кадров
10:12 – коллизия кадрового голода
13:30 – в каких отраслях наиболее остро стоит вопрос кадрового голода
17:20 – регуляторика и кадровый голод
17:50 - 250 Указ Президента
21:56 – как регуляторика влияет на кадровый голод
24:39 – новые профессиональные стандарты
30:44 – кто и как борется с кадровым голодом
33:47 – нужно ли единая ассоциация по образованию в ИБ
35:20 – как государство популяризирует ИБ отрасль
36:22 – национальный центр по кибербезопасности
40:59 – кадры и бизнес
43:44 – хантинг из зарубежа
45:00 – шеринг и аутсорсинг компетенций
48:01 – подготовка кадров задача компаний
54:30 – заключение

#подкаст

Разбираемся с профстандартами по ИБ

Начнем с целей и текущего состояния 👨‍🏫

У профстандартов изначально благородная цель - связать сферы труда и образования. Требования профстандарта должны учитываться при разработке ФГОС, на основе которых формируются образовательные программы учебных заведений.

Одновременно профстандарты могут использоваться при подготовке должностных инструкций, аттестации сотрудников и разработке планов профессионального обучения.

Работникам профстандарты помогают прояснить, какие умения необходимо приобрести, чтобы выстроить желаемую карьерную траекторию.

Перечень утвержденных профстандартов в области ИБ
📎 Специалист по защите информации в телекоммуникационных системах и сетях
📎 Специалист по безопасности компьютерных систем и сетей
📎 Специалист по защите информации в автоматизированных системах
📎 Специалист по автоматизации информационно-аналитической деятельности
📎 Специалист по технической защите информации
📎 Специалист по информационной безопасности в кредитно-финансовой сфере

Проекты (планируются к утверждению)
📎 Специалист по криптографической защите информации
📎 Специалист по обеспечению безопасности объектов КИИ топливно-энергетического комплекса

Пилотные профессиональные стандарты (экспериментальная разработка) по сведению ФУМО ИБ
📎 Специалист по защите персональных данных
📎 Специалист по противодействию кибермошенничеству

#профстандарты

Автоматическая генерация учебного курса по ИБ

Одна из тем моего диссертационного исследования на стыке педагогики и моделирования касалась автоматической генерации учебного курса, куда входят список лекций, лабораторных, практических и контрольных работ 👨‍🏫

В то время еще не существовало GPT, поэтому теперь идею можно докрутить до стадии готового курса, а не только его описания.

Кратко идея: для каждого учебного курса можно построить ориентированный граф переходов, по этому графу ученик передвигается снизу вверх (моделировал движение через сеть Петри). Вершина графа - лекция, а каждое ребро - практическая или лабораторная работа.

В итоге получается таблица, которую теперь можно подать на вход GPT и попросить сгенерировать готовый текст 🔥

Кому интересно, публикация с подробным описанием идеи тут.

#наука

Первый релиз схемы развития карьеры в кибербезе

Подготовил первый релиз схемы развития карьеры кибербез-специалиста (таксономии) 🥳

Схема может быть полезна:
- cтудентам для построения пути развития в ИБ;
- преподавателям для формирования учебных курсов;
- HR для формирования единой терминологии в названии вакансий.

PS. Также схема в PDF-формате, но без интерактивных ссылок 😎

#путь_в_ИБ

Разработка новой модели компетенций для специалистов по кибербезопасности

Анализ схемы развития карьеры в кибербезе показал, что следующим логичным шагом должна стать модель компетенций, которая формально опишет представленные треки 🤔

Почему бы не взять за основу профстандарты? Честно признаемся себе, что за восемь лет существования они так и не прижились на рынке ИБ 😔

В чем принципиальная проблема профстандартов по ИБ? Выскажу субъективное мнение.

Как поет Игорь Николаев:

... и у меня на это пять причин

1️⃣ Мир кибербез профессий сложнее и динамичнее, чем набор ОТФ.
2️⃣ KPI МинТруда завязан на количество профстандартов.
3️⃣ Отсутствие научно обоснованной методики разработки профстандартов, методика не включает обязательный анализ вакансий из открытых источников (HH, SJ, Хабр и пр.)
4️⃣ Первые профстандарты по ИБ гармонизировались с образовательными стандартами.
5️⃣ Чтобы разобраться, как профстандарты связаны с ФГОС приходится читать научные монографии 🤯 Отсюда сложность внедрения, неоднозначность, различные трактовки итд итп.

Это все приводит к мысли о создании живой модели компетенций для специалистов по кибербезопасности, которую можно обновлять и дополнять силами сообщества.

Алексей Лукацкий 🤠 рекомендует обратить внимание на существующий фреймворк NICE (National Initiative for Cybersecurity Education) 🤔

Работа предстоит большая, но кто, если не мы? 🫡

#профстандарты #модель_компетенций

Влияние AI/ML на сферу кибербезопасности

Международная организация ISC2 проводит ежегодные исследования проблем и возможностей для специалистов по кибербезопасности. В 2023 году они изучали влияние новых технологий, в частности AI/ML, на кибербезопасность 🤔

У нас, к сожалению, таких опросов не проводится, но тенденция может совпадать, поэтому приведу краткие итоги исследования ISC2:

📎 45% опрошенных специалистов по кибербезопасности считают, что в течение двух лет искусственный интеллект восполнит нехватку квалифицированных кадров.

📎 35% специалистов считают, что сотрудникам в организации необходимо увеличивать компетенции по безопасности облаков, 32% - по AI/ML, 29% - по Zero Trust.

📎 84% респондентов говорят, что у них нет/минимальные знания или некоторые/умеренные знания в области AI/ML.

📎 52% опрошенных перешли в кибербез из ИТ, 45% - попали в отрасль благодаря самообразованию, 31% - окончили бакалавриат по ИБ и столько же по ИТ.

📎 27% респондентов пришли в кибербез из-за перспектив роста (в основном в области здравоохранения), 25% - из-за высокого спроса на навыки (военные) и столько же за наслаждением от работы (финансовые услуги).

Рекомендую, особенно HR, познакомиться с полным отчетом 👀

#аналитика

Фреймворк для развития знаний и навыков в области кибербезопасности (NICE Framework)

NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США 🤔

Адаптированный перевод фреймворка в виде матрицы компетенций от 🟥 можно найти по ссылке.

NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).

🔥 И это еще не все 😳 На основе NICE Framework американцы построили карьерный путь в кибербезе. Весь кибербез они разделили на пять сообществ (на рисунке): IT, Cybersecurity, Cyber Effects, Intel (Cyber) и Cross Functional. В интерактивном режиме можно выбрать одно из сообществ и увидеть, как связаны Специализированные области, чтобы построить свой карьерный трек 🤔

Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию 👀

Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать) 😔

В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году 😱

#nice_framework #модель_компетенций

Терминология NICE Framework. Что важно знать?

В отличие от профстандартов NICE Framework удалось гибко связать сферы обучения и работы. Разработчики учли, что кибербез-специалист учится на протяжении всей жизни 🤓

📎 Работа в NICE Framework описывается через выполняемые задачи, каждая из которых включает набор навыков и знаний (рисунок 1).

📎 Группа задач может объединяться в области компетенций (термин взяли из сферы образования), на основе которых удобно разрабатывать программы обучения (рисунок 2).

📎 Рабочая роль - набор решаемых рабочих задач. Должность может включать множество рабочих ролей (рисунок 3).

Через формирование областей компетенций можно обучать новым ИБ-направлениям, которые еще не сложились, как рабочая роль или должность 🤔

Посмотрим на примере, как работать с NICE Framework: рабочая роль Системный администратор, а должность может звучать, как Специалист службы технической поддержки.

Задачи, которые решает роль:
T0054: Разработать групповые политики и списки управления доступом.
T0514: Выполнить диагностику неисправного системного/серверного оборудования.

Знания, которые необходимы для решения задач:
K0004: Знание принципов кибербезопасности и конфиденциальности.
K0289: Знание инструментов диагностики системы/сервера и методов выявления неисправностей.

Навыки, которые необходимы для решения задач:
S0043: Навыки поддержки служб каталогов (например, Microsoft Active Directory, LDAP и т. д.).
S0144: Навыки устранения физических и технических проблем, влияющих на производительность системы/сервера.

Для разработки программы повышения квалификации 👨‍🏫 для системных администраторов со знанием СЗИ сформируем область компетенций, включающую задачи T0054, T0514 и дополнительно T0335: Сборка, установка, настройка и тестирование специального оборудования для киберзащиты, где оценим знания с помощью тестов, а навыки на демо-стенде.

Подробнее про NICE Framework см. тут, тут и тут 👀 Обратите внимание на предложения по новым областям компетенций 🤔

#nice_framework #модель_компетенций

Европейская система навыков кибербезопасности (ECSF)

ЕС серьезно озадачился дефицитом кадров в области ИБ 🤔

Для решения этой проблемы была создана Академия навыков кибербеза и собственный фреймворк ECSF (European Cybersecurity Skills Framework), который описывает задачи, компетенции, навыки и знания, связанные с 12 типичными ролями специалистов по кибербезу (рисунок 1).

📎 Представленные роли можно связать с управленческим циклом (рисунок 2).

📎 Навыки и знания очевидно трансформируются в учебные программы (рисунок 3).

Перечислим роли, которые описывает ECSF.
1. Руководитель отдела информационной безопасности
2. Инженер по реагированию на инциденты
3. Консультант по киберправу
4. Аналитик киберразведки
5. Архитектор безопасности данных
6. Аудитор по рискам и соблюдению требований информационной безопасности
7. Тренер по кибербезопасности
8. Разработчик кибербезопасности (DevSecOps)
9. Инженер-исследователь кибербезопасности
10. Аналитик рисков информационной безопасности
11. Консультант по компьютерной криминалистике
12. Пентестер

Детальное описание самого ECSF тут, презентация и все роли 👀

#модель_компетенций #ECSF

SPARTA Cybersecurity Skills Framework

Еще один фреймворк с описанием навыков в области кибербеза от ЕС, построенный на основе NICE (NIST SP 800-181), но с фокусом на образование 👨‍🏫

В документах SPARTA подчеркивается, что разработчики учли особенности законодательства и образовательные стандарты ЕС 🤔

Для обучения кибербез-знаниям и навыкам SPARTA определяет набор компетенций, которые связываются с темами (topics) (рисунок 1, 2, 3) 🤔

Например (рисунок 3), в теме Probability and Statistics из раздела Математика, осваивается компетенция Modeling and Simulation and Data Analysis. Знания и навыки для компетенции берутся из NICE Framework. Правда, зачем изобретать велосипед? 🤔

Дополнительно SPARTA разработали интерактивный конструктор учебных программ по кибербезу 🔥

Детально познакомиться с методикой SPARTA можно по ссылкам:
📎 Структура навыков кибербезопасности.
📎 Описание учебных программ.

#модель_компетенций #SPARTA

От набора навыков к сервису на основе данных

Для визуализации рынка труда в области кибербеза американские компании NICE, CompTIA и Lightcast разработали карту вакансий CyberSeek (сам сервис заблокирован для жителей РФ).

За 2022 год работодатели зарегистрировали на сайте 769 736 вакансий, требующих кибербез навыков 🤯

На рисунке показано, как сервис позволяет построить маршрут развития карьеры (начальный уровень, средний и продвинутый), конечно, он не такой детальный как отечественная схема, но замысел близкий 🤔

В основе CyberSeek лежит NICE Framework, информация об экспертной ИБ-сертификации, анализ рынка вакансий и требования к образованию с указаниям, где пройти обучение 👀

#nice_framework #модель_компетенций

Как формируются новые профессии в кибербезе?

Схема развития карьеры в кибербезе показывает, как вместе с внедрением новых типов СЗИ формируются новые профессии: инженер MP SIEM, специалист по поддержке PT AF, специалист по DLP системам, администратор антивирусных средств защиты итд. 🤔

Следуя этой логике в ближайшее время на рынке появится спрос на инженеров PT NGFW и MP Carbon 👨‍💻

#путь_в_ИБ

Канадская система навыков в области кибербезопасности

Канадская система навыков в области кибербезопасности (ITSM.00.039) выпущена под руководством Канадского центра кибербезопасности (Кибер-центра).

В основе лежит американский NICE Framework, адаптированный к канадскому рынку труда. Система включает четыре категории (вместо семи в NICE), которые представляют собой большинство ролей в области кибербезопасности в канадских предприятиях и организациях (на рисунке) 🤔

#nice_framework #модель_компетенций

Модель обновления рабочих ролей в NICE Framework

В октябре рабочая группа NICE предложила добавить к существующим рабочим ролям "Анализ внутренних угроз": роль отвечает за выявление инсайдерских угроз кибербезопасности; делает выводы, которые помогают инициализировать и поддерживать правоохранительную и контрразведывательную деятельность 👨‍💻

Детальное описание рабочей роли в таблице по ссылке: на вкладке "Proposed Aligned TKS Statements" обратите внимание на подробное соответствие задач (IT-T00xx), которые решает роль "Анализ внутренних угроз", знаниям и навыкам (IT-K00xx, S00xx) 🤔

Таким образом, добавление новой роли в NICE Framework влечет за собой 1️⃣ формирование новых программ обучения, 2️⃣ появление экспертной сертификации и явно говорит, что 3️⃣ на рынке сформировался запрос на таких специалистов 👀

#nice_framework #модель_компетенций

Проблема передачи знаний

NICE Framework определяет знания, как извлекаемый набор понятий в памяти. Такой набор далее будем называть тезаурусом 👨‍🏫

Если психофизиологические характеристики ученика и учителя отчасти закладываются от рождения и в течение жизни изменяются незначительно, то тезаурус варьируется и подвержен ежедневным изменениям. Это позволяет нам учиться 👩‍🎓

Ученик пропускает мимо ушей любое сообщение, содержащее ключевые понятия, которых нет в его тезаурусе 🗣

Схема на рисунке 1 демонстрирует, что процесс передачи знаний от учителя к ученику сталкивается со множеством препятствий, т.к. каждый из уровней "стека" может существенно отличаться у источника и приемника знаний.

Если обобщить схему на группу учащихся, то знания передать очень сложно (практически невозможно), поэтому остается их формировать и каким-то образом "выращивать" в голове ученика 🧐

Подробнее, кому интересно, в моей монографии Кибернетический подход к управлению процессом обучения на основе семантических сетей знаний 🧑‍🔬

#наука

Специалист по управлению уязвимостями

Ранее я уже писал про разрыв между профстандартами и реальным рынком кибербеза. Повторяться не хочется. Остается главный вопрос: что с этим делать? 🤔

1️⃣ У меня получилось сопоставить NICE Framework со схемой развития кибербез-специалиста (на рисунке).

2️⃣ В терминах NICE на основе отечественных вакансий с HH подготовил черновик описания рабочей роли Специалист по управлению уязвимостями. Оно получилось более детальное, чем у NICE 😎

На основе предложенного описания рабочей роли теперь можно:
📎 создавать актуальные учебные курсы (элективы в вузе, ДПО)
📎 сравнивать учебные курсы между собой (по знаниям и умениям, которые приобретает ученик)
📎 подбирать кадры на смежные должности
📎 повышать квалификацию сотрудников компании итд итп

Данный кейс показывает, что идею NICE Framework можно адаптировать к реалиям отечественного рынка 👍

#nice_framework #модель_компетенций

Сингапурская модель развития карьеры в области промышленного кибербеза

Карьерный путь, карта навыков и описание компетенций для каждой из ролей по ссылке 🤔

#модель_компетенций #OTCCF

Области компетенций в NICE Framework

Обучение и работа — это разные типы деятельности 👨‍🏫

На работе мы ежедневно выполняем рабочие задачи, а во время обучения приобретем новые знания и навыки, чтобы по окончании решать более сложные и интересные рабочие задачи 👨‍💻

Ранее уже писал, что NICE Framework позволяет разграничить работу (рабочие роли) и области компетенций (на рисунке 1).

В новой редакции NICE предлагает добавить следующие области компетенций (== учебные дисциплины).

1. Управление доступом
2. ИИ в кибербезе 🔥
3. Управление активами
4. Облачная безопасность
5. Сетевая безопасность
6. Криптография
7. Основы кибербеза
8. Лидерство в кибербезе
9. Защита данных
10. DevSecOps
11. Киберустойчивость/надежность
12. Безопасность и администрирование ОС
13. Промышленная безопасность
14. Безопасная разработка
15. Безопасность цепочки поставок

Чувствую, что пора уже готовить отдельную лекцию про адаптацию NICE Framework к отечественному рынку кибербеза 🤔

Поставьте 👍 если интересно послушать такую лекцию.

#nice_framework #модель_компетенций

Cвод знаний по кибербезу CyBOK

Американцы разрабатывают фреймворки, а британцы — энциклопедии

Какую проблему решает CyBOK? 🤔

Представим ситуацию: в каждом вузе страны читается дисциплина по основам ИБ и каждый преподаватель с нуля 😱 готовит подобный курс, на это тратятся силы и время, а в итоге "первый блин — комом"...

Идея проекта CyBOK простая и понятная — консолидировать усилия сообщества, собрать экспертов, которые создадут путеводитель (карту) по миру кибербеза, сделают базовые презентации, запишут подкасты. Все материалы в открытом доступе. Остается только развивать и улучшать. Например, создавая книги для малышей по кибербезу 👼

Национальный центр кибербезопасности Великобритании (NCSC) использует CyBOK в качестве основы для сертификации программ бакалавриата и магистратуры 👨‍🏫

CyBOK разделен на 21 область верхнего уровня, сгруппированную в пять категорий, как показано на рисунке 1. Материалы по всем категориям доступны для свободного скачивания 👍

#cybok